尼日利亚王子电邮一类的东西不值一提

　　今时今日的针对性网络钓鱼之复杂，甚至连最有经验的安全专家也会上当

　　网络钓鱼电子邮件几十年以来一直是计算机世界的祸害，尽管我们做了最大的努力对其进行打击，努力却没有什么成效。我们大多数人一看电邮的主题就知道是钓鱼电邮，会将其删除，不会打开它。有时候我们不能完全确定是不是钓鱼电邮，打开后也会即刻从内容上知道发邮者是在钓鱼，这种邮件的特点是称呼非常正式、外国血统、拼写错误以及非常卖力地想送给我们几百万不劳而获的美金或是向我们兜售疑点重重的产品。在大多数情况下，这种网络钓鱼之举威胁颇小，我们用删除键就解决了。

　　现在来看看针对性钓鱼(Spearphishing)：针对性的钓鱼法行之有效，甚至可以对付最有经验的安全专家。为什么呢?因为这些钓鱼法是出自专业人士之手，他们似乎了解你的生意、你目前的项目、你的兴趣等等。他们不会试图向你推销任何东西，或自称可以送钱给别人。事实上，时下的针对性钓鱼的目的往往要比简单的盗窃金钱险恶得多。

　　下面我们就来看看当今最先进的针对性钓鱼个各类招数——以及如何防止自己误中他人的高招。

　　招招出自专业罪犯之手

　　传统上，网络钓鱼邮件出自一些下三路的骗子，他们采取的办法是广撒网：草草的一个信息，然后大肆发放垃圾邮件。总归有人上当。事实上，网络钓鱼的意图越明显越好，原因是这样可以确保抓住的是最容易上当的糊涂蛋。

　　一路走来，套数变了。专业犯罪分子和有组织犯罪团伙开始意识到，发些更像样的垃圾邮件可以捞到不少钱。布赖恩·克雷布斯(Brian Krebs)2015年的畅销书《垃圾邮件国度》跟踪了专业犯罪团伙在俄罗斯的兴起，这些团伙每年进账数百万美元，支撑着多个大公司，其中一些公司披着合法的外衣，其股票可以在证券交易所买进卖出。

　　一些主权国家也加入了这个游戏，他们意识到精心制作的电子邮件可以帮助他们绕过最坚固的防御，要做的是瞄对员工。今天的绝大多数高级持续性威胁(APT)都是通过发几封电子邮件到公司内部的受害者而找到最初的落脚点。

　　现在的专业网络犯罪分子每天朝9晚5上班、缴税、周末和节假日不上班。他们工作的公司往往有几十名到几百名员工，公司会贿赂当地执法部门和政治家，公司也往往被视为其所在地区的首选雇主。这些公司为的就是攻入其他国家的企业，在这种公司工作常常像戴着一枚爱国徽章一样值得自豪。

　　这些专业黑客作坊雇了一队队的劳动力。营销团队往往是由高管负责，找愿意付钱攻取一个特定公司的信息的客户，通常这些公司也会按要求攻击任何一家公司，然后将所得信息作营销用。

　　而研究和监测小组则负责收集有关目标公司的组织结构、业务合作伙伴、可从网络访问的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站以及闯入相关公司的一些保护较弱的商业合作伙伴获得大部分的信息。

　　所获取的信息会交给一个初步攻击人员团队，他们从目标组织内部建立锚点。该团队是专业黑客作坊里最重要的团队，它又被分成几个技术小组，每个小组重点负责一个特定的领域：攻入服务器、启动客户端攻击、进行社会工程攻击或展开针对性钓鱼。针对性钓鱼小组与研究小组紧密配合，他们会和设计电子邮件模板的人员一起将各类相关的议题和项目混合起来。

　　另外还有其他团队。建立了初始入口后，后门团队接手，确保以后可以方便进入，他们会植入木马后门、创建新的用户帐户以及清理受感染的组织中所有的登录资料。

　　还有，和所有上等的咨询公司一样，会有一个长期团队专门负责该“客户”。该团队的作用是四处寻找详细介绍组织结构和组织主要人士的重要信息。在很短时间内，他们就会知道公司建立的每一个防御体系以及如何绕过它。当一个新的项目或大量数据上线时，该团队就会第一时间知道。任何有潜在力的信息都会被复制保管起来，以备在以后销售时派上用场。

　　过去我们听说的大凡是一个编程毛孩子在网吧草草地写个电子邮件，现在不一样了，这也就是为什么今天的钓鱼攻击效率要高得多。现在这些事就是一份全职工作，要在面试过关斩将才会被雇佣，工资、福利和项目奖金一应俱全。甚至还要签保密协议，也有HR麻烦和部门政治。

　　可别搞错了：钓鱼邮件专业化了。

　　攻击是熟人发送的

　　今天的针对性钓鱼邮件往往来自一个熟人，你基本上每天都和Ta交换邮件，针对性钓鱼邮件不是来自尼日利亚王子。这些邮件经常看上去是老板、团队负责人或其他管理层的权威人物发的，以确保受害者会打开电子邮件，而且还可能会照邮件所说的去做。

　　这些电子邮件也可能来自外面的、相似的电邮账户，目的是要和权威人士的个人电子邮件帐户相似。谁没有收到过同事不小心用自己的个人账户发的与工作有关的电子邮件呢?我们都知道这种错误时有发生。

　　这种电邮也可能来自与流行公共电子邮件服务器(Hotmail、Gmail等等)相似的账户，发送者自称现在用这个以前没用过的帐户，因为他们的工作电子邮件被锁住没法用了。还是那句话，谁没经历过这种事呢?

　　但最可能的是，假冒钓鱼邮件看起来是来自其他人真正的工作电子邮件地址，有两个可能的原因，一是因为网络钓鱼组织能够从外部发送虚假的工作电子邮件地址，或是因为网络钓鱼组织已经成功地攻破对方的电子邮件帐户。后者已经成了流行的攻击方式，谁会不去点击老板发来的链接呢?

　　攻击包括你正在做的一个项目

　　许多针对性钓鱼受害者坠入陷阱是因为发送者似乎知道他们目前正在做什么项目。原因是这些发起针对性钓鱼的人在这上面花过时间，或是他们已经控制一个同事的电子邮件帐户有一段时间了。电子邮件可能包括一个诸如“这是你正等着收取的某某项目的报告”或“这是我对你发来的报告的修改”的主题，电邮还有一份最初由接收方发送的附加副本，不过里面加了个新的、自动运行的恶意链接。主题也有可能会提到一个项目的可行性，诸如“你觉得这会影响到我们的项目?”的问题或诸如“有人击败了我们!”的感叹，邮件里则会有一个链接，指向似乎与项目相关的恶意新闻文章。

　　笔者见过声称是来自律师的邮件，说是要求增加某个正在办离婚的人的子女抚养费。笔者也见过专业组织领导人发给全部组织成员的钓鱼邮件。我也见过发给C级官员的电子邮件，声称手里拥有正在打官司的案件信息，电邮要求接收者运行可执行文件对附件里的保密PDF文件“解锁”。我见过发给IT安全专家的虚假更新，声称电邮含来自供应商提供的安全更新，是给他们最近购买和安装的一个产品用的。

　　电子邮件的主题和正文内容现在已经不是“看看这个!”一类的东西。现在不一样了，针对性钓鱼电子邮件来自你信任的、你正在做的一个项目里的人。阁下在读了这么多以后，怕是巴不得收到的电邮是有关假的亲人病危消息和伟哥广告，收到此类电邮毕竟不是那么令人担心。

　　你的攻击者一直在监视你公司的电子邮件

　　今时今日，公司攻击者无时不在监控着你公司的几十个电子邮件帐户。他们这样做是为了获取用来欺骗你同事的资料，并且获取你的公司里最敏感和最有价值的信息。

　　如果你发现公司已经被侵入，那就要假定所有C级员工和VIP电子邮件帐户已经被攻陷，而且要假定已经有很长一段时间是这样了。甚至一开始的发现坏蛋的报告都有可能被坏蛋读到。他们知道你知道什么。

　　面对这种对手，唯一的解决方案是用一个完全“带外”(Out of band)的网络，包括全新的电脑和新的电子邮件帐户。用别的方法可能只是浪费时间。

　　你的攻击者可以拦截电邮并根据需要更改电邮

　　今天的对手不只是被动地读电邮。他们可以拦截电邮并且在有需要时修改电邮，尽管改得不多。批准的决定可能会改成不批准;不批准的决定可能改成批准。有时，重要的接收者会从电子邮件的接收者列表中被删除。可能会加进几个接收者。电子邮件群可能被修改。加密和签名可能被关闭。

　　在笔者读到过的最糟糕的例子之一里出现如下情况，这个公司知道遭受严重APT破坏。为了重新收回网络，网络管理发了一封电子邮件，要求所有收件人更改密码。网络管理当然认为，这样做可以使恶意入侵者待不下去——只不过入侵者已经控制了网络管理的电子邮件帐户。就在电子邮件被发出的那一刻，入侵者修改了嵌入的链接，修改密码的人点击链接后就会来到一个和公司修改密码页面一模一样的网站，而这个网站是由入侵者的控制的。用户遵从网管的指令，而这样做以后却使得入侵者能够得到所有更改后的密码。

　　攻击者使用定制工具或内置工具破坏杀毒软件

　　数十年以来，钓鱼邮件的附件用的是一些日常恶意软件工具。而今时今日，他们使用的是定制工具，特意为你打造并经过加密，他们或是利用内置在操作系统里的程序。结果是一样的：反恶意软件扫不到这些恶意文件或命令。而当坏蛋们出现在你的网络上时，他们也小心地只运行相同的东西。

　　一些用受害者的内置脚本语言(PowerShell中、PHP等)写的的恶意脚本正在迅速成为首选工具。PowerShell甚至还出现在一些恶意软件工具包里，这些包最终可以制造出仅含PowerShell的恶意程序，网上可以找到这种例子。

　　另外，现在的反恶意软件甚至刑侦调查都很难确定正当的工具是不是用作很邪恶的目的。这就使得上述的威胁火上加油。就拿远程桌面协议(RDP)连接做例子。几乎每个系统管理员都用RDP。但当坏人也用它时，就可能很难确定什么时候的RDP连接是在干坏事。而且，要挫败攻击者就只能是移除好人也用的合法工具，而好人却是靠这个工具来清理系统。

　　你的攻击者在将你的数据搬回家时用的是军用级加密

　　以前恶意软件使用随机选的端口来复制你网络上的数据，这种日子已经一去不复返了。同样，使用传统保留端口(如irc端口6667)发送命令和远程控制恶意创作的日子也一去不复返了。

　　现在的恶意程序用的是SSL/TLS端口443，并使用业界公认的、军方认可的AES加密。大多数公司都管不了443端口的流量，大部分甚至试都不试。各个公司越来越多地使用防火墙和其他网络安全设备作为管理443端口的流量的方法，其做法是用自己的数字证书取代入侵者的443数字证书。但如果443流量中的数据使用AES加密过的，这样做对刑侦调查没有用。得到的都是些没有意义、乱七八糟的东西。

　　恶意软件编写者使用的加密标准是一流的，连FBI也没办法，只能告诉勒索受害人还是交钱算了。事实上，如果发现有恶意程序在443以外的端口运行而且没有用AES加密掩盖其踪迹，那这个恶意程序可能是出自脚本毛孩子之手。或者是，该恶意程序已经在你的环境待了很长一段时间了，只不过你到现在才发现它。

　　你的攻击者会隐藏自己的踪迹

　　直到最近的几年，大多数公司从不会费心去启用日志文件，或者即便启用了也不会去收集可疑事件发出的警报。时代变了，现在的IT捍卫者如果没有启用日志和每天检查就将被视为失职。

　　对此，坏蛋们支出新招，转用命令行和脚本命令等技术，这些不太可能被记录在事件日志里，他们或是在完事后会删除日志。一些更高级的攻击者则利用rootkit程序，这些程序对操作系统进行恶意修改，以跳过自己的恶意工具实例的执行。

　　你的攻击者在你的环境中待了多年了

　　职业犯罪组织从开始潜伏在受害者公司的网络里到被发现的平均时间通常为几个月到几年。我经常与一些公司合作，他们的网络里居然潜伏了多个专业团伙，有的在里面待了长达八年之久。

　　名声显赫的Verizon数据泄露调查报告常常有报道，指大多数内部泄露是从外部发现的。而在大多数情况下，之所以这样是因为外部的这一家被攻陷多年后，在取证调查时会发现自己的数据或攻击者是来自或被发往另一家作为一个中转站的公司。

　　我给几个客户做过咨询项目，坏蛋在公司待了超长时间，以至于恶意软件成了公司黄金映像的一部分，即是说，每一个新电脑都含恶意软件。我见过木马程序在一家公司流传多年并被放行，原因是IT人员以为这个木马程序是个必用的软件组件，以为是同一组织内的另一个组放置的。黑客大爱这一类的假设。

　　你的攻击者不怕被逮住

　　曾几何时，网络钓鱼者进入你的公司，窃取金钱或信息后就会尽快消失。快进快出，被逮住、被指证、被起诉的机会就小。

　　而今天的攻击者可能身处国外，你的法律管不着，拘捕令没有用。你甚至可以(通过法律证据)在地方当局指认黑客公司、黑客和物理地址，但可能什么也不会发生。

　　过去10年里，有人在受到攻击时常常请我去做补救，大多数情况下，黑客被发现后并不会跑掉。可以肯定，他们不想被发现，但一旦被发现后，他们却会更自由更大胆，好像限制被取消了一样。

　　到最后，补救就是一个猫捉老鼠的游戏，老鼠却占尽优势。第一，你并不知道他们攻陷了什么，也不知道他们有多少种方法可以再回来。而这些全都是因为某人打开了一个针对性钓鱼电子邮件。

　　你可以做什么

　　补救的第一步是要教育所有的员工，让他们知道针对性钓鱼攻击的新现实。大家都知道旧式网络钓鱼电子邮件是什么样子，错别字满篇、可以轻易得到的几百万美金的承诺等等，这些已无须太担心的了。要向员工解释新的针对性钓鱼电子邮件，告诉他们针对性钓鱼电子邮件是出自职业罪犯之手，告诉他们职业罪犯知道如何将电邮做得像是来自被同事信任的人。

　　应该有人告诉员工，在点击运行程序或打开不明文件时要先用别的方法(如电话或即时通讯)确认。随时确认在今时今日要成为日常核实工作的一部分。要告诉员工随时报告任何可疑的东西。如果他们不小心运行了什么，而后来觉得值得怀疑就应该及时报告。不要觉得被愚弄了是件丢人和尴尬的事，这一点很重要。要让他们知道，由于攻击太复杂，任何人今天都可能被骗，即便是安全专家也不例外。

　　许多公司会不断用假冒的钓鱼手法来测试他们的员工。这样做时应该使用复杂的网络钓鱼电子邮件模板，不要用类似以往的网络钓鱼做法。要持续地测试每个员工，直到很容易被骗的员工达到很低的比例。如果做法的当，这样做可以使你的员工质疑任何来历不明的、要求输入个人资料的电子邮件以及在执行程序时更加小心。如果最后员工开始质疑你的合法邮件，这是个可喜的现象，说明教育计划成功了。

　　最后，如果针对性钓鱼的做法不幸在你的公司得逞了，这时可以利用真实的网络钓鱼电子邮件以及被骗员工的现身说法(如果他们非常受欢迎和值得信任)，以针对今天的针对性钓鱼环境对其他人进行教育。这种发生在前线和中心的教训应该受到欢迎。

　　预防的关键是要让大家认识到，今时今日的针对性钓鱼电子邮件与过去的事不可同日而语。

　　责任编辑：DJ编辑